Volgende week noodpatch voor aangevallen Flash-lek
Adobe zal volgende week een noodpatch voor een kritiek lek in de meest recente versie van Flash Player uitbrengen dat actief door cybercriminelen wordt aangevallen. Via de kwetsbaarheid kan een aanvaller volledige controle over de computer krijgen als er een gehackte of kwaadaardige website wordt bezocht. De aanvallen zouden zich richten op gebruikers van Internet Explorer en Firefox op Windows 8.1 en ouder.
Woensdag werd bekend dat er een nieuw en ongepatcht lek in Flash Player aanwezig is dat actief wordt gebruikt om Windowscomputers met malware te besmetten en onderdeel van een botnet te maken. Gisterenmiddag kwam Adobe met een security bulletin voor Flash Player, maar dit bleek voor een andere kwetsbaarheid in oudere versies te gaan. Het softwarebedrijf liet wel weten dat het meldingen over aanvallen tegen de meest recente versie nog aan het onderzoek was.
Vanochtend heeft Adobe de kwetsbaarheid bevestigd en zegt dat het in de week van 26 januari met een noodpatch verwacht te komen. In de tussentijd kunnen gebruikers Flash Player uitschakelen. Daarnaast meldt beveiligingsonderzoeker Kafeine van het blog Malware Don't Need Coffee dat Microsoft EMET, een gratis tool die een extra beveiligingslaag aan Windows en applicaties toevoegt, de aanval in het geval van IE11 weet te stoppen. De onderzoeker heeft echter niet met andere IE-versies, Firefox en Windowsversies getest. Google Chrome zou nog altijd niet via het Flash-lek worden aangevallen.
De auteur zegt hierover het volgende:
As i am being harassed by requests to test it, I endup installing Emet 5.1 and test it in live condition with Windows 8.1 32bits, Internet Explorer 11, Flash 16.0.0.257. I don't know how to use it. I just did an install, use recommended Settings.
Mitigation tools als EMET detecteren generieke exploitation technieken en zijn "versie-onafhankelijk" om het maar even zo te noemen. Volgens de afbeelding die kafeine op zijn blog geplaatst heeft wordt er een stack pivot gedetecteerd. (https://4.bp.blogspot.com/-XI8eDjlQrSY/VMFggWEFoUI/AAAAAAAAES4/rMqGfNgM5MM/s1600/2015-01-22_21h37_21.png)
Zolang er geen EMET mitigation bypasses worden gebruikt zou er altijd dezelfde detectie plaats moeten vinden.
Dit heeft te maken met het feit dat bepaalde 'kritieke' functies als WinExec vanuit 'verkeerde' delen van het geheugen aangeroepen worden bijvoorbeeld.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
